Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-42890
Średnie

Aplikacja Actual, będąca otwartoźródłowym narzędziem do zarządzania finansami osobistymi, w wersji desktopowej dla macOS 25.x (opartej na Electron 39.2.7) nie wyłącza zmiennej ELECTRON_RUN_AS_NODE. To pozwala atakującemu na uruchomienie binarnego pliku Actual.app z tą zmienną, co przekształca aplikację w REPL Node.js zdolne do wykonywania dowolnego kodu.

CVE-2026-42604
Średnie

Wersje sync-server Actual Budget do 26.4.0 ujawniają pełną konfigurację OpenID Connect, w tym `client_secret` OAuth2, każdemu, kto zna hasło bootstrap. Endpoint nie wymaga uwierzytelnienia i nie ma limitu liczby prób, co umożliwia atak brute-force.

CVE-2026-53726
Średnie

W Parse Server przed wersjami 8.6.80 i 9.9.1-alpha.6 występowała podatność, która pozwalała na odczytanie członkostwa w polu relacyjnym za pomocą operatora $relatedTo, nawet gdy pole to było ukryte dla klienta. Umożliwiało to nieautoryzowanym klientom enumerację obiektów powiązanych z chronioną relacją.

CVE-2026-53725
Średnie

Parse Server w wersjach od 9.8.0 do przed 9.9.1-alpha.5 ma lukę, która pozwala na ujawnienie wrażliwych danych użytkowników przez punkty końcowe /login i /verifyPassword, gdy włączono MFA i zablokowano dostęp do klasy _User. W przypadku odmowy dostępu do danych użytkownika, serwer zwraca surowe dane z bazy, co może prowadzić do ujawnienia tajnych informacji, takich jak sekrety MFA i kody odzyskiwania.

CVE-2026-50244
Średnie

Platforma Naxclow udostępnia punkt rejestracji, który akceptuje podpisane żądania zawierające prefiks wsadowy oraz dowolny identyfikator konta dostarczony przez wywołującego, bez weryfikacji relacji własności. Każde wywołanie generuje nowy sekwencyjny identyfikator urządzenia i zwraca aktualną wartość licznika wsadowego, co umożliwia precyzyjne enumerowanie aktywnej przestrzeni urządzeń.

CVE-2026-50099
Średnie

Podczas asocjacji WiFi, oprogramowanie urządzenia Naxclow wyświetla SSID, PSK oraz negocjowane klucze WPA w postaci niezaszyfrowanej na wystawionym konsoli UART. Umożliwia to atakującemu z fizycznym dostępem do urządzenia odzyskanie danych uwierzytelniających WiFi oraz przeprowadzenie ataków na oprogramowanie.

CVE-2026-50008
Średnie

Parse Server w wersjach od 9.8.0 do przed 9.9.1-alpha.3 ma lukę, która pozwala na obejście listy dozwolonych tras API. Zewnętrzni klienci mogą wysyłać sub-zapytania do tras, które nie zostały uwzględnione w tej liście, co stwarza ryzyko nieautoryzowanego dostępu.

CVE-2026-47248
Średnie

Parse Server przed wersjami 8.6.78 i 9.9.1-alpha.2 ujawnia metadane schematu przez komunikaty o błędach walidacji GraphQL, co pozwala nieautoryzowanym użytkownikom na rekonstrukcję nazw klas i pól.

CVE-2026-47236
Średnie

Solidtime to aplikacja do śledzenia czasu, która przed wersją 0.12.2 miała niewłaściwie skonfigurowane uprawnienia do API zaproszeń i członków. Pracownicy organizacji mogli uzyskać dostęp do adresów e-mail zaproszeń i członków, mimo że API zabraniało im tego dostępu.

CVE-2026-42932
Średnie

Identyfikatory urządzeń Naxclow wykorzystują stałe prefiksy produkcyjne połączone z sekwencyjnymi licznikami, co prowadzi do przewidywalnej i enumerowalnej przestrzeni identyfikatorów. Dodatkowo, platforma udostępnia punkt końcowy, który ujawnia aktualny najwyższy identyfikator, co umożliwia enumerację aktywnej floty.

CVE-2026-41568
Średnie

W Moby, w wersjach przed 2.0.0-beta.14 oraz w Docker Engine przed 29.5.1, występuje warunkowe wyścigu podczas konfiguracji montowania docker cp, co pozwala złośliwemu kontenerowi na tworzenie pustych plików lub katalogów w dowolnych absolutnych ścieżkach na systemie plików hosta.

CVE-2026-10715
Średnie

Camaleon CMS w wersji 2.9.2 zawiera lukę w autoryzacji w punkcie końcowym autosave szkiców administratora. Użytkownik z niskimi uprawnieniami może wysłać dowolny post_id do POST /admin/post_type/<POST_TYPE_ID>/drafts i nadpisać szkic związany z postem innego użytkownika.

CVE-2026-47225
Średnie

Typo-tolerancyjny silnik wyszukiwania Typesense ma problem z izolacją pamięci podręcznej, który dotyczy zapytań wyszukiwania korzystających z pamięci podręcznej wyników po stronie serwera oraz kluczy API Scoped Search. W wyniku określonego porządku zapytań, wyniki z pamięci podręcznej mogą być ponownie używane w zapytaniach z różnymi ograniczeniami kluczy API, co prowadzi do niezamierzonego ujawnienia wyników wyszukiwania.

CVE-2026-47223
Średnie

W NanaZip, od wersji 3.0.1000.0 do przed wersją 6.0.1698.0, występuje podatność na odczyt poza granicami sterty w parserze obrazu vbmeta Android Verified Boot (AVB). Przepełnienie 32-bitowej liczby całkowitej bez znaku w sprawdzeniu granic pozwala na ominięcie walidacji przez pole salt_len kontrolowane przez atakującego.

CVE-2026-44173
Średnie

Podatność w MariaDB pozwala na wykonanie zapytań SELECT ... INTO OUTFILE i SELECT ... INTO DUMPFILE bez wymaganego uprawnienia FILE, jeśli klauzula FROM zawiera wyłącznie podzapytania. Problem dotyczy wersji od 10.6.1 do 10.6.26, 10.11.1 do 10.11.17, 11.4.1 do 11.4.11, 11.8.1 do 11.8.7 oraz 12.3.1.

CVE-2026-44171
Średnie

Serwer MariaDB w wersjach od 10.6.1 do przed 10.6.26, 10.11.1 do przed 10.11.17, 11.4.1 do przed 11.4.11, 11.8.1 do przed 11.8.7 oraz 12.3.1 miał problem z brakiem weryfikacji ścieżek zawierających /../ podczas rozpakowywania archiwum. Specjalnie przygotowane archiwum mogło spowodować utworzenie plików poza docelowym katalogiem.

CVE-2026-44169
Średnie

W wersjach MariaDB od 11.4.1 do przed 11.4.11, 11.8.1 do przed 11.8.7 oraz 12.3.1, użytkownik z dostępem EXECUTE do procedury składowanej mógł zobaczyć definicję tej procedury, nawet bez uprawnienia SHOW CREATE ROUTINE. Problem został naprawiony w wersjach 11.4.11, 11.8.7 i 12.3.2.

CVE-2026-7184
Średnie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.15 nie sanitizują odpowiedzi API zdalnego klastra podczas operacji PATCH. Umożliwia to uwierzytelnionym użytkownikom z uprawnieniem {{manage_secure_connections}} uzyskanie tokenów uwierzytelniających zdalnego klastra poprzez żądanie PATCH do punktu końcowego zdalnego klastra.

CVE-2026-6739
Średnie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie wymagają uprawnień na poziomie systemu przy łatanie chronionych domyślnych ról systemowych. Umożliwia to uwierzytelnionym użytkownikom z delegowanymi uprawnieniami do zarządzania użytkownikami eskalację uprawnień poprzez modyfikację uprawnień wbudowanych ról za pomocą API łatania ról.

CVE-2026-6689
Średnie

Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie egzekwują odpowiednich uprawnień przy tworzeniu zespołów, co pozwala uwierzytelnionym użytkownikom z uprawnieniem PermissionCreateTeam, ale bez PermissionInviteUser, na modyfikację ustawień zespołu dotyczących zaproszeń.

PoprzedniaStrona 134 z 565Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS